 |
LINKS |
|
|
|
| |
|
|
   |
 |
|
附录一、一些的后门工具介绍
文/江海客
名称 |
NETBUS |
主要特点介绍 |
NETBUS是一个图形界面的后门工具,可以很容易的控制目标机的各种资源,可以完成让目标机执行程序、控制目标机鼠标、查看目标机屏幕COPY、打开连接、运行程序、上传下载文件等十多项功能 |
首次运行特性 |
屏幕没有任何响应,把自己COPY到95/98的系统目录下,文件名与被执行的文件名一致,修改注册表。 |
开机运行方式 |
通过修改注册表的方式在开机方式运行,在注册表中添加键的位置为HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run添加键值名称与运行文件名一致,键值为C:\WINDOWS\XXXX.EXE
/nomsg
(xxxx是文件的名称) |
SERVER端介绍 |
长度为472576字节,默认图标为一支火炬,通过TCP连接,开放端口为12345、12346,端口不能改变。 |
手工检测
清除方法 |
Netstat -an查看是否12345端口开放,在注册表对应位置中是否有可疑文件,首先清除注册表中NETBUS的主键,然后重新启动机器,删除掉其运行文件即可。 |
点评 |
该程序的优点是操作简便,功能强大,弱点是他是一个封闭的系统,不能通过插件来扩展功能,同时下传文件操作也很不方便,另外由于开放端口不能更改,使程序的隐蔽性不强。 |
名称 |
Back Orifice(BO) |
主要特点介绍 |
BO是Cult of the Dead Cow(死牛祭祀)小组推出的最为富有代表力力的95/98后门工具,它提供了命令行方式和图形界面方式两种操作方式。可以对目标机进行全面的控制,同时BO开放了程序接口,可以接受第三方提供的插件。 |
首次运行特性 |
第一次运行时把自己copy到95/98系统的system目录下,目标文件名可以预先定义,并修改注册表,文件自身从当前目录下消失。 |
开机运行方式 |
通过修改注册表方式开机运行,添加位置为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,键名与预先定义的文件名一致。默认文件名为.exe |
SERVER端介绍 |
BO服务器端是一个看不到图标的可执行文件,目标文件名为可以通过设置程序改变,扩展名也可为DLL,长度有124928字节、178291字节等多个版本,通过UDP连接,默认端口为31337(可以通过设置程序改变), |
手工检测
清除方法 |
用netstat -an检测有没有31337等可疑的端口,注册表对应位置和system目录下有无相应特征的可疑文件。 |
点评 |
BO的功能非常强大,几乎是后门工具的代名词,但在使用的简便性上逊色于NETBUS,另外,似乎程序也有一些BUG。 |
名称 |
Back Orifice 2000(BO2K) |
主要特点介绍 |
BO2K是死牛祭祀小组推出的BO后续版本,除了BO原有的能力外,BO2K在设置功能、开放式结构、通讯方式等方面有了全面的进步,同时该程序可以工作在NT上。 |
首次运行特性 |
第一次运行时把自己copy到95/98系统的system目录下,目标文件名与预先定义的一致,并修改注册表,文件自身从当前目录下消失。 |
开机运行方式 |
通过修改注册表方式开机运行,添加位置为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices,键名与预先定义的文件名一致,默认文件名为UMGR32.EXE。如果工作在NT上他将添加一个服务,默认服务名为Remote Administration Service(可以通过设置改变)。 |
SERVER端介绍 |
目标文件名可以通过设置程序改变,图标为普通的可执行文件图标,长度为114688字节,可以根据设定选择通过UDP还是TCP连接,端口可随意设置,传输包可以用算法加密。 |
手工检测
清除方法 |
用netstat -an检测有没有等可疑的端口和连接,注册表对应位置和system目录下有无相应特征的可疑文件。删除注册表项后,重新启动机器,再删除对应文件。 |
点评 |
BO2K是一个接近完美的后门工具。而且该程序的开放结构比BO更为标准,而且公开了全部源码,为第三方开发插件提供了良好的基础。 |
名称 |
NETSPY |
主要特点介绍 |
NETSPY是一个操作风格类似WINDOWS资源管理器的后门工具,由两名中国网民设计,他可以方便的实现对目标机文件的上传和下载,使目标机执行程序等功能 |
首次运行特性 |
屏幕没有任何响应,将自身copy到95/98系统的sytem目录下,无论执行时文件叫什么名字,copy
后文件名都叫做netspy.exe,并在此目录下释放出一个名为SPYNOTIFY.exe,这才是真正的SERVER端,修改注册表。 |
开机运行方式 |
通过修改注册表的方式在开机时运行,添加键的位置为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run,并添加两项,键值分别为C:\WINDOWS\SYSTEM\SPYNOTIFY.EXE、c:\windows\system\netspy.exe |
SERVER端介绍 |
SPYNOTIFY.EXE长度为23552字节,图标为一个青衣的间谍头像,netspy.exe长度为88576字节,该程序采用TCP连接,使用5个730X的端口,特别成功的是当没有client端对server端操作的时候,server端并没有开放的端口。这意味着采用netstat -an命令查看连接,可能不能发现netspy的存在,除非上载或者下传的操作正在进行 |
手工检测
清除方法 |
该程序server端的藏在95/98系统下的文件名不能象netbus那样随意改变,或者象BO那样预先定义,这使被攻击的用户可以很容易从注册表或者system目录中发现netspy的存在,只需把其在注册表中的两个键值删除,重新启动机器,把两个文件删除就可以了。 |
点评 |
该程序的功能恰如作者所说是一个没有权限限制的FTP SERVER,其他功能比较弱。 |
名称 |
HAPPY99 |
主要特点介绍 |
HAPPY与上述木马程序有所不同,HAPPY99本身有一定病毒或者蠕虫的特性,他可以借助邮件附件的方式传播自己,这一点与后来的melissa等病毒十分相似,或许就是HAPPY99的创新之处给予了melissa等病毒作者以提示。 |
首次运行特性 |
该程序被执行时屏幕上打开一个名为HAPPY NEW YEAR1999的窗口,显示有美丽的焰火,此时该程序把自身COPY到95/98的SYSTEM目录下命名为ska.exe,释放出文件ska.dll,并修改wsock32.dll,把修改前的文件备份为wsock32.ska,修改注册表。 |
开机运行方式 |
通过修改注册表方式开机运行,添加键位置为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,添加键值为ska.exe |
SERVER端介绍 |
HAPPY99不是c/s模式的远程控制工具,他会在你发送邮件件的过程中,偷偷的把自己作为附件发送传播,文件长度:hapyy99.exe(ska)为10000字节,ska.dll为8192字节,wsock32.dll长度并不因修改发生变化,因为happy99把添加的部分放在了原文件的一些空白的地方。 |
手工检测
清除方法 |
查找对应的注册表位置与WINDOWS目录下是否有对应特征的文件名,删除其键值,和ska.dll和ska.exe两个文件,将文件
wsock32.ska,重命名为“wsock32.dll,杀毒结束,重启机器。 |
点评 |
Happy99非常小巧,他的部分功能依赖修改了系统的动态连接库实现,这种手法应当予以小心。 |
名称 |
PICTURE |
主要特点介绍 |
PICTURE是一个与HAPPY99有些类似的木马,以MAIL附件的形式传播,值得注意的是这是一个直接会泄露你私人信息的后门。 |
首次运行特性 |
PICTURE本人没有标本,不清除运行后前台表现,根据资料,picture常见传播文件名有picture.exe、notes.exe、manager.exe等等,运行时,会把自身copy到9X目录下,并修改win.ini. |
开机运行方式 |
依靠把win.ini的LOAD=指向自身开机运行。 |
SERVER端介绍 |
PICTURE不是c/s模式的远程控制工具,但他会建立你机器中的.txt、.htm的列表,挑选出链接,做成加密文件发回某地址,特别是美国在线用户用户名称与密码将同时也被发走。该程序,有353792和348672字节等版本。 |
手工检测
清除方法 |
检查win.ini load=是否指向一个可疑程序,清除掉这一项,重起动,删除指向的程序就可以了。 |
点评 |
这不是在国内很流行的程序。 |
|
|
|
|
 |
|
|
|
|
|
|
